デジタル時代のアイデンティティ／アクセス管理

サイバーセキュリティ動向調査
デジタル時代の
アイデンティティ
／アクセス管理
kpmg.com/jp
目次
はじめに
主な調査結果
IAMとデジタル時代
業界別のデジタルトランスフォーメーションの動向
デジタルビジネスのセキュリティをIAMによって保護する
EU一般データ保護規則の影響
IAMに関する脅威ベクター
モバイルコンピューティング
4
5
7
8
11
12
13
13
クラウド
14
IAMがもたらすものとリスク
18
シャドー IT
IAMに関するデジタル世界で果たすべき目標は明らかになっている
IAMへの投資のパターン
結論
付属資料
調査方法
図一覧
KPMGについて
免責、使用権、独立性およびデータ保護
15
19
21
26
28
28
29
30
31
本冊子は、2016年5月にPAC, a CXP Group CompanyがKuppingerColeの協力を得て発行した �Identity and
Access Management in the Digital Age�（スポンサー：KPMG, CYBERARK, SailPoint）を翻訳したものです。
翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
3
まえがき
多くの企業が、新しいデジタル経済の波に
乗り遅れまいとして、先を争うようにビジネス
この変化の渦に巻き込まれた企業や組織は、
回答を見出す暇もなく、次々と新しい疑問に
トランスフォーメーションを進めています。直面しています。
しかし、往々にして、この変革の途上では
さまざまなリスクが生じます。そして、それ
らのリスクを注意深く管理しなければ、企業
のサイバーセキュリティの脆弱性が露呈して
しまう恐れがあります。
しかも、さらに問題を複雑化しかねない事情
があります。それは、既存のプラットフォーム
とテクノロジーが、デジタル経済の本質的
な要素、たとえば、モノのインターネット
、ハイブリッドクラウド、個人の社会的
（IoT）
属性、個人が特定される／されないことを
隔てる境界線設定の難解化などに対応する
ように設計されていないことです。これは、
今や主要なビジネスプロセスを担うよう
になったアイデンティティ／アクセス管理
（IAM）ソリューションについても言えること
です。
• アイデンティティが特定されるべき境界
線はどこまで広がっているのか？
• 企業と顧客のアイデンティティの管理原則
は（実際のところ）どのくらい隔たりがある
のか？
• 組織の内部と外部のアイデンティティを
単一の視点で統合的に見渡すことは可能
なのか？
• デジタルトランスフォーメーションに欠か
どのように影響するのか？
PACおよびKuppingerColeとの連携によって、
KPMGは、本調査を通じて、デジタルトラ
ンスフォーメーションにおけるIAMの役割を
図式的に明らかにしようと試みました。本
多くの脅威ベクター（攻撃発動者が使用する
広め、最終的に、ビジネストランスフォーメー
ションの機会は待ったなしで押し寄せてくる
からです。
主席アドバイザー
変革の実現、トレーニング、そして導入に
とって、今は刺激的な時代です。なぜなら、レポートが、デジタルトランスフォーメー
専門家たちがインサイダーリスクを引き起こすションにおけるIAMの役割に対する認識を
いる間にも、デジタルトランスフォーメー
サイバーセキュリティ
せないサービスとなったIAM ― それは、
サイバーセキュリティとIAMの専門家に
経路やツール）を必死に理解しようと努めて
Manoj Kumar
KPMG英国
ションの主役への道を歩みつつあるIAMの
重要性を理解する助けとなることを願ってい
ます。
John Hermans
KPMGオランダ
欧州・中東・アジア
サイバーセキュリティ
責任者
本調査の英語原文のエグゼクティブサマリーとインフォグラフィックは、以下のウェブページでご覧いただけます。
https://www.pac-online.com/trend-study-identity-and-access-management-digital-age
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
4
はじめに
デジタル時代の
アイデンティティ／
アクセス管理
Paul Fisher
PAC英国、リサーチディレクター
2016年5月
欧州では、数万のアイデンティティ／アクセス
管理（IAM）システムが、適切な人員だけに
データとシステムへのアクセスを許可する
という方法で、長年にわたり企業のセキュリ
ティ維持に使われてきました。
従来、そのようなソリューションは、従業員
個人のアイデンティティを管理する目的で
設計されたものですが、時代の変化に伴い、
モバイルワークという働き方へのシフトによる
エンドポイントの多様化まで、カバーする
べき役割が広がってきました。
しかし、今日、あらゆる業界がデジタルトラ
ンスフォーメーションを推進することで、競争
力の強化、効率性の向上、そして顧客や
サプライチェーンとの接近を図ろうと試み、
新しい課題が出現しつつあります。
デジタル世界のアイデンティティの数は急激
に増加することが予想され、より多様かつ
制御困難な形式で広まっていく可能性が高い
でしょう。企業が消費者のアイデンティティ
を持つことの意義とは何か、どうすれば消費
者のアイデンティティを適切に管理できるの
か、そしてどうすれば安全に保護できるのか
について、企業は真剣に考え始めています。
また公的機関も、どのようにデジタルアイ
デンティティを利用すれば公共サービスを
改革できるのか検討し始めています。
セキュリティおよび情報担当の上級管理責任
者は、もしこの課題に取り組み始めていない
なら、可能な限り早急に対策に乗り出す必要
があるでしょう。そして、デジタルビジネス
の中でのアイデンティティに対するニーズの
解決に、 IAMソリューションがどのよう
今、デジタルトランスフォーメーションは、に役立つかを検討することも必要となるで
単なる業界の流行語という域を超えて、欧州しょう。
全域に広がる現実となっています。これは、
本調査の結果が示すとおりです。
とはいえ、デジタルトランスフォーメーション
は、既存のテクノロジーとプロセスにも影響
を及ぼすことが予想されます。組織変革の
途上においてそのセキュリティを維持していく
前提となるのは、アイデンティティが安全に
本調査は、IT意思決定者が、変化するビジ
ネス環境の中でアイデンティティ／アクセス
管理（IAM）システムにおける新たなサイバー
セキュリティの課題にどう立ち向かうべきか
について、有意義な洞察を提供するものと
私たちは考えています。
保たれているということです。
企業が消費者のアイデンティ
ティを持つことの意義について
検討し始めています。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
5
主な調査結果
今回の調査結果からは、デジタル時代の
課題と新たな機会に応えると同時に、安全
に機能するIAMソリューションの必要性に
関する認識が、ITの上級意思決定者の間で
高まっている様子が見て取れます。
デジタルトランスフォーメーション戦略の
主要な目標は何かという質問を受けて、回答
者の48 ％が、脅威や侵害の軽減が極めて
重要であると回答しています。
カスタマーエクスペリエンスの改善やコスト
欧州の主だった地域の銀行、保険、製造、削減と効率化の推進は、調査対象企業の
小売、サービス、通信、運輸および公的
機関で活動するセキュリティ／情報担当の
上級管理責任者は、セキュリティが確実
に組み込まれない限り、デジタルトランス
優先課題であることが予想されていました
が、
「脅威／侵害の軽減」は、この2つの項目
より上位となりました。
シャドー IT（正式に許可されて
いないアプリケーション、ハード
ウェア、クラウドサービスの
購入）が、デジタル時代の安全
なIAMソリューションに対する
重大な脅威として浮かび上がっ
ています。
フォーメーションの到来による恩恵は得られ
ないであろうと懸念しています。
図1：デジタルトランスフォーメーション戦略における各課題に対する重要性の認識
脅威／侵害の軽減
48%
カスタマーエクスペリエンスの改善とCRMアプリケーションの高度化
46%
コスト削減と業務効率化の推進
競争力の強化
サプライチェーン効率の向上
新しい市場への参入
23%
22%
23%
9%
27%
25%
32%
1%
18%
27%
46%
24%
9%
32%
39%
13%
10%
17%
45%
17%
5%
24%
43%
27%
12%
19%
28%
30%
市場化期間の短縮
18%
24%
39%
収益可能性の増大
より素早く変化に対応するビジネスの創出
29%
14%
32%
■極めて重要である　■重要である　■やや重要である　■まったく重要ではない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
6
図2：今後発生すると考えられる、IAM関連のセキュリティ侵害の主な原因
10%
6%
12%
■プロビジョニング（ユーザー情報の配信や同期）が
非効率であること
■不適切な特権アクセスの制御
■第三者や、利用制約のあるアイデンティティに対する
不適切な制御
25%
46%
■IAMのポリシーやプロセスに関する
トレーニングや理解の欠如
■近い将来においては、いかなるIAM関連の
セキュリティ侵害の発生も想定していない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
回答者のうち46 ％が「IAMのポリシーや
プロセスに関するトレーニングや理解の欠如
が、今後発生すると考えられるIAM関連の
セキュリティ侵害の主な原因になる」と予想
しています。
他方で、企業がデジタルトランスフォーメー
ションを進めるにつれて、シャドー ITが、
安全なIAMソリューションの開発を危うく
する重大な脅威として浮かび上がっており、
43 ％がシャドー ITを困難な課題であると
回答し、22％が極めて困難な課題であると
回答しています。
本調査のその他の要点：
• 92％の回答者が、今後3年間、IAMへの
投資を維持または増額することを予定して
います。
• 65％の回答者が、消費者向けのアイデン
ティティ管理とアプリケーションの提供
欧州では92％の組織が、今後
3年間、IAMへの投資を維持
または増額することを予定して
います。
を、次期のIAM投資の検討事項であると
みなしています。
• 57％の回答者が、次期のIAM投資として、
（少なくとも部分的には）マネージドセキュ
リティサービスプロバイダー（MSSP）に
よって管理されるソリューションの採用を
検討しています。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
7
IAMとデジタル時代
デジタルトランスフォーメーションは、ビジ「デジタル市場で競争力を維持するには自社
ネスモデル、テクノロジー戦略、そしてパー
トナー関係を変化させつつあります。なぜ
なら企業は、デジタル経済がもたらす新たな
機会と課題に向き合う準備を進める必要が
あるからです。
これは欧州全域で本格的に進展している
プロセスであり、約77％の回答者が「すでに
企業全体でのトランスフォーメーション戦略
を導入しているか、または一部の業務活動を
すでに変更済みである」と回答しています。
これは大きな割合ですが、今後3年間のうち
に、この数字はさらに増加する可能性が高い
でしょう。なぜなら、ますます多くの企業が
の組織自体がデジタル化する必要がある」
と認識することが予想されるからです。
本調査は、かつてはデジタルへの変化に
対する抵抗勢力とみなされていた保険や製造
欧州企業の77％が、すでにデジ
タルトランスフォーメーション
を進展させています。
業などの業界でさえ、今では変革の取組み
を加速させていることを示しています。
この調査結果は、従来のビジネス境界の
外部でのデジタル化や、ソーシャルメディア
を通じた消費者への接近、特に小売業界に
おけるオムニチャネル型の取引モデル活用
の推進が加速していることを意味している
とも考えられます。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
8
また、一部の業界（例：公共、サービス、 IAMの守備範囲拡大に伴う課題の1つは、
製造）におけるIoTテクノロジーの統合や、デジタルトランスフォーメーションがもたらす
インターネットに接続された「モノ」
（人の
行動を記録するデバイスからコネクテッド
カーまで）の利用全般も、デジタルトランス
フォーメーションに含まれている可能性が
あります。さらにテクノロジーの面では、ハイ
ブリッドデータセンター、DevOps（開発
と運用の担当者同士が連携して協力する
開発手法）、そしてアジャイルコンピュー
ティングのような最新の開発動向にも、デジ
タルトランスフォーメーションの成果が取り
込まれている可能性があります。
しかしいずれの場合でも、デジタルトランス
フォーメーションの進展に伴ってアイデン
ティティの管理は、業務活動のセキュリティ
を実現するうえで主役を演じるようになり、
IAMはセキュリティ／情報管理責任者だけ
でなく、他のチーフオフィサーレベルの意思
リスクの増加について、あらゆるビジネス
リーダーに理解させることです。
これが必要な理由は2つあります。1つは、
コネクテッドデバイスの供給によって生じる
攻撃対象の拡大。そして2つ目は、脆弱性
銀行業界の 41 ％は、すでに
全社的なデジタルトランス
フォーメーション戦略を導入
しています。
の拡大が顧客情報や知的財産（IP）にまで
対象を広げることです。
リスクを低減するために、情報担当のリーダー
は、最初の設計段階から「モノ」をセキュリ
ティプロセスと結び付ける必要性について、
またセキュリティ侵害とそれに続くブランド
へのダメージや投資家からの信頼喪失を
避けるためにデータ保護を拡大強化する
必要性について、取締役会を説得する必要
があります。
決定者にとってもますます重要になるで
しょう。
業界別のデジタルトランスフォーメーションの動向
デジタルトランスフォーメーションがIAMの
加えて、一部の業務活動に変化が見られる
するためには、各業界がどこまでデジタル化
的なデジタルトランスフォーメーション戦略
計画立案にどのように影響しているかを判断
の道を進んでいるのか見定めることが重要
です。デジタルトランスフォーメーションを
強力に推進すると期待されていた一部の
業界では、予想を裏切って進捗が遅れており、
他方で遅れを取り戻す途上にある業界も見ら
れます。
という回答も、その変化が包括的かつ全社
を基盤としていることを指すとは限りません。
私たちの分析はこのことを考慮に入れていま
すが、それでもやはり基本的な動向は変革
を目指す動きであり、それが真の牽引力を
獲得していることは間違いありません。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
9
図3：業務遂行全般におけるデジタルトランスフォーメーションの影響（業界別）
銀行
29%
保険
36%
製造
公的機関
通信、運輸、公共サービス
41%
32%
30%
32%
42%
12%
小売
サービス
29%
27%
54%
35%
34%
31%
14%
35%
39%
11%
32%
■まだ初期の計画立案段階にとどまっており、
戦略は導入されていない
■デジタルトランスフォーメーションは
すでに一部の業務活動を変化させている
46%
57%
■全社的なデジタルトランスフォーメーション戦略
を導入している
注記：小数点以下四捨五入のため合計値は100％にならないことがある
銀行業界では、41％の回答者が「すでに
全社的なデジタルトランスフォーメーション
戦略を導入している」と回答しています。
しかし小売業では、デジタル化の動きを
回答していることでしょう。これは、本調査
において他のどの業界よりも高い数字です。
欧州全域で、公的機関はコス
全域の公的機関がコスト削減の圧力を受けて
政府と地方自治体は顧客重視
これは2つの面で重要です。すなわち欧州
先取りしている業界というイメージとは裏腹
いること、そして政府と地方自治体は顧客
回答した企業は35％であり、31％は「デジ
ていることです。これはサービスのデジタル
に、組織全体にデジタルを導入していると
重視の姿勢をさらに強めるように要求され
タル化によって一部の業務が変化している」化という形で表われています。
と回答しています。
製造業は相対的に遅れており、全社的な
デジタルトランスフォーメーション戦略を
すでに導入している企業は27％でした。
変革の鍵を握る業界の1つである公的機関
は、今回の調査対象全体の中で最も多くの
割合を占めており、欧州全域で変革を積極
的に推進しています。
回答者のうち、34％は「組織全体でデジタル
戦略を導入している」と回答していますが、
おそらくより重要なことは、54％が「デジタル
はすでに組織活動を変化させている」と
ト削減の圧力を受けており、
の姿勢をさらに強めるように要
求されています。
英国政府は行政のためのデジタルプラット
フォームの開発を言明しており、ドイツ
連邦政府は2014 年の白書、�The Digital
Agenda�で全国規模のデジタルトランス
フォーメーション政策を発表し、推進してい
ます。この白書では �Digital Administration
2020� という表題のもとに、公共サービスの
変革に対する連邦政府の公約も掲げられて
います。
両国、そして他の欧州諸国も、デジタル技術
と高速ブロードバンド網は将来の経済成長
にとって極めて重要であると考えており、
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
10
そのために政府のデジタル化は必要不可欠
であるとみなしています。EUは、デジタル
トランスフォーメーション担当の委員長を
任命しており、政府機関と企業の両方のデジ
タルトランスフォーメーションを推進するさま
ざまなプログラムを実施しています。
この変革プロセスの一部として考えられる
のは、市民のデジタル空間でのアイデンティ
ティを証明する仕組みを創設し、さまざまな
省庁や政府機関のウェブサイトへのシーム
レスなアクセスを可能にすることです。
そして、その際に極めて重要なのは、アク
セス権限とアイデンティティ管理に高い
セキュリティを設けることです。これは単独
企業のIAM要件を超えた課題であり、全
市民が利用できるように、十分なセキュリティ
を備えたシステムの構築が要求されます。
この取組みで最も先行しているのが、公的
機関とサービス業界（46％が組織全体での
デジタル戦略を導入済み）であることは、
意外ではありません。両者とも、デジタルの
課題に容易に適合できる無形の製品（ソフト
プロダクト）を提供しているからです。
通信業界は、回答者の64％という最も高い
割合で、全社的なデジタルトランスフォー
メーション戦略を導入しています。
製造業と小売業は、いずれもまだ進むべき
行程を残しています。保険会社と銀行の大
部分は「まだ戦略を導入していない」と回答
していますが、そうした既存企業は、フィン
テック（FinTech）の新興企業から破壊的な
影響をこうむる恐れがあります（特に、英国、
フランス、ドイツの企業が考えられます）
。
実際、金融と保険は極めて競争の激しい
市場であり、競争力を維持できるかどうかは、
顧客との緊密な関係と付加価値サービス
次第です。
デジタル化は国によって多様なペースで進ん
でいますが、現在のところ集団から抜け出し
て独走態勢に入っている国は存在しません。
図4：業務遂行全般におけるデジタルトランスフォーメーションの影響（地域別）
ベネルクス（オランダ・ベルギー・ルクセンブルク）
北欧
33%
7%
47%
スイス
フランス
ドイツ
英国
■まだ初期の計画立案段階にとどまっており、
戦略は導入されていない
33%
47%
33%
20%
25%
23%
33%
24%
40%
43%
40%
35%
48%
■デジタルトランスフォーメーションは
すでに一部の業務活動を変化させている
40%
30%
■全社的なデジタルトランスフォーメーション戦略
を導入している
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
11
デジタルビジネスのセキュリティを
IAMによって保護する
組織におけるデジタルトランスフォーメー
今回の調査回答者がセキュリティを大きな
意外な結果とほぼ予想どおりの回答が混在
どおりでしたが、そうした回答者はセキュリ
ションの主な目標は何かと質問したところ、課題として認識していたことは事前の予想
していました。
回答者の48％が「脅威や侵害の軽減はデジ
ティだけではなく、ビジネスニーズにも目を
タルトランスフォーメーションの実現において、
特に必要な前提条件である」と考えていた点
には着目する必要があります。
それは、回答者がそれぞれの組織の中で
十分な影響力を保持しているならば、最初
の段階からセキュリティが考慮された形で
トランスフォーメーションが推進される可能
向けています。その証拠に、回答の中には、
欧州のシニア ITリーダーの
48％は、脅威や侵害の軽減を、
デジタルトランスフォーメー
セキュリティの枠を超えて、ビジネストランス
ションの推進において極めて
ついても高い数字が見られます。
ます。
フォーメーションにおける戦略的な目標に
それには、カスタマーエクスペリエンスの
重要な要素であると考えてい
改善、業務効率化の推進、収益可能性の
拡大などが含まれています。
性が高まるからです。
図5：デジタルトランスフォーメーション戦略の個別目標に対する重要性の認識
脅威／侵害の軽減
カスタマーエクスペリエンスの改善とCRMアプリケーションの高度化
70%
コスト削減と業務効率化の推進
24%
73%
市場化期間の短縮
32%
57%
サプライチェーン効率の向上
27%
32%
1%
18%
25%
59%
36%
9%
27%
23%
68%
競争力の強化
9%
17%
50%
より機動性の高いビジネスの創出
5%
10%
19%
67%
収益可能性の拡大
新しい市場への参入
18%
77%
14%
32%
■極めて重要である・重要である　■やや重要である　■まったく重要ではない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
12
ほぼすべての組織が、ビジネスにおける機動
興味深いのは「新しい市場への参入」を
組織のデジタルトランスフォーメーション
になっていることです。なぜならデジタル
組み込まれています。
参入ルートを切り開いてくれる見込みがある
力を高める必要性を理解しています。実際、「極めて重要」と回答した割合が最低の数字
戦略には、必ずビジネスの機動力の向上が
トランスフォーメーションは、新たな市場
からです。Apple Payがその一例です。
EU一般データ保護規則の影響
アイデンティティ／アクセス管理は、基本的
または2,000万ユーロ（どちらか多い方）の
に、組織におけるセキュリティ侵害の防止
罰金を科される可能性があり、いかなる
防止は、今では基本的なビジネス目標の1つ
ことが義務付けられます。
セキュリティ侵害が業務や社会的評価に
状態にあったので、情報セキュリティの専門
まもなくEU域内では、侵害から生じる規制
ていた可能性があります。しかし、こうして
しょう。
GDPR対策をリスク管理戦略の中に組み
に役立つように設計されています。また侵害
でもあります。
セキュリティ侵害も72時間以内に報告する
GDPRは、計画段階で極めて長い間、足踏み
もたらすダメージや信用の失墜は別としても、家のほか、多くの経営者からも見過ごされ
上のコストが急激に増加することになるで
EU一般データ保護規則（GDPR）が新たに
施行されると、サイバー攻撃やその他の原因
でデータを消失した企業は、厳しい状況に
陥ることになるでしょう。2018年 4月から、
EU住民に関するデータを保持している事業
体は、その漏えいによって最高で売上の4％
2,000万ユーロまたは年間売上
の4％ ― GDPRを遵守しない
事業体は、この金額を罰金と
して支払う必要があります。
規制の施行が現実となった以上、今から
込んでおくべきです。そしてその一環として、
デジタルトランスフォーメーションに起因する
侵害リスクの増加に対処するための将来的
なアイデンティティ／アクセス管理（IAM）
ソリューションに関する意思決定も行う必要
があります。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
13
IAMに関する脅威ベクター
デジタルは、モバイル、クラウド、シャドー ITなどを含む多数のベクターに
わたって、脅威を増大させるでしょう。
モバイルコンピューティング
モバイルコンピューティングは、事業変革
が進むにつれてアイデンティティのセキュリ
ティに影響を及ぼすことが予想され、しかも
あらゆる業界で発展しています。
銀行は保守的な業界の1つであり、インフラ
を従来の境界領域外に拡大することに消極
的なため、モバイル利用は依然として他の
業界の後塵を拝しています。
（混合型の産業
である）サービス業は別として、銀行は今後
もモバイル機器を使用していない従業員の
割合が最も高い業界（図7の10～24％および
25～49％の割合）であり続けると予想されて
います。
図6：現在、企業サービスへのアクセスにモバイル機器を使用している従業員の割合
銀行
29%
保険
11%
18%
18%
24%
公的機関 2%2%2%
サービス
通信
運輸
6%
11%
33%
9%
54%
12%
25%
17%
46%
32%
21%
9%
7%
8%
21%
43%
17%
3%
4%
32%
27%
4%
12%
43%
32%
製造 3%
小売
35%
11%
29%
58%
4%
4%
4%
4%
7%
8%
■なし　■1～9％　■10 ～24％　■25 ～49％　■50 ～74％　■75 ～89％　■90 ～100％　■回答なし
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
14
図7：3年後、企業サービスへのアクセスにモバイル機器を使用していると予想される従業員の割合
銀行
12%
保険
24%
24%
21%
製造
9%
公的機関 2%2%
小売
18%
18%
通信
7%
運輸
21%
30%
12%
18%
18%
2%
31%
25%
25%
11%
27%
38%
50%
4%
14%
57%
17%
4%
6%
54%
7%
12%
24%
43%
19%
サービス
6%
7%
21%
8%
8%
11%
7%
25%
■なし　■10 ～24％　■25 ～49％　■50 ～74％　■75 ～89％　■90 ～100％　■回答なし
注記：小数点以下四捨五入のため合計値は100％にならないことがある
これは特に従来型の職場（例：支店など）に
増大させます。なぜなら、システムはどの
基づいた結果ですが、自分の机のみで仕事
ユーザーがどのような機器や「モノ」を使用
はまります。
生じ、さらにはアクセスの前後関係も理解
をしているバックオフィスにも部分的に当て
他方で、3年後に90～100％域が占める割合
の増加は著しく、一部の銀行は従来の職場
の慣行から脱却して、モバイルビジネスの
実現を目指す業務の抜本的な変革を（おそ
らく対抗勢力の異論を払いのけつつ）進め
ている様子が見て取れます。
通信は、予想に違わずモバイル化しつつあり
ます。これはセキュリティ分析の複雑さを
クラウド
クラウドへの移行については、すべての業界
が「 3 年後にはクラウドに移行された企業
システムが増加している」と回答しています。
ここでの興味深い特徴は、以前はクラウド
しているかという関係性を理解する必要が
しなければならなくなるからです。今後ます
ます増大する複雑さに対処するためには、
高度なセキュリティ分析が必要不可欠になる
でしょう。
セキュリティ部門は、クラウド
あらゆる業界にわたる私たちの予測と整合
を取り扱う能力が必要となるで
全体として、モバイルの利用率の増加は、
しており、その数字はさらに大きくなる可能
性もあるでしょう。
とオンプレミスシステムの両方
しょう。
公的機関など）がクラウドへの移行を見込ん
でいることです。
これは、特に公的機関ではコスト面での
判断が作用していると考えられます。しかし
を忌避していた業界すべて（銀行、保険、セキュリティの懸念は残るでしょう。特に
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
15
トランスフォーメーション計画によって、従来
すべての組織がますます多くの業務をクラ
なら部外者だった人々や組織（たとえば消費
ウドに移行させています。セキュリティ部門
へのアクセスが許可されるようになる場合
ハイブリッド）とオンプレミスシステムの両方
者やサプライチェーン先）にも企業システム
は、その懸念は大きくなります。
は、クラウド（パブリック、プライベート、
を取り扱う能力が必要となるでしょう。
図8：3年後にクラウドに置かれていると予想される企業システムの割合
銀行
24%
保険
35%
21%
製造
12%
公的機関
5%
4%
35%
7%
通信
14%
14%
運輸
4%
27%
27%
36%
29%
14%
36%
25%
33%
3%
5% 2%
23%
7%
10%
4% 3%
4%
14%
33%
5%
11%
18%
12%
14%
7%
11%
48%
39%
小売
12%
36%
14%
12%
サービス
24%
4%
7%
7%
9%
■なし　■1～9％　■10 ～24％　■25 ～49％　■50 ～74％　■75 ～89％　■90 ～100％　■回答なし
シャドー IT
さらに、このデジタル時代においてすでに
AWS、Dropbox、Boxおよび Salesforce
ます。それは、現在も依然としてIT関係者
に使用しているのですが、同時に、従業員
「大問題」に陥りつつある1つの分野があり
の中で論争のテーマとなっているシャドー IT
の拡大です。
シャドー ITは、企業主導の戦略が存在しない
状況において、従業員が自ら、ほとんど
組織的にデジタルトランスフォーメーション
を遂行しようとする意思の表明であるとも
言えます。
ウェブベースのアプリケーション、クラウド
リソース、モバイル機器、そして仮想ツール
の導入の容易さと低コストは、IT部門の調達
先を新しい領域へと拡大させてきました。
などのアプリケーションを従業員は熟考せず
はそうしたアプリケーションを極めて生産的
に、良い意図を持って使用することで、プロ
欧州の情報セキュリティ担当の
上級意思決定者の65 ％が、
シャドー I T を安全な I A M
ジェクトを成し遂げようとしていることも事実
ソリューションの展開を阻害
しょう。
ます。
です。この動きは今後さらに加速し続けるで
また、普段からさまざまなメッセージングや
する課題であるとみなしてい
ソーシャルアプリケーションを個人所有機器
にインストールし、その使いやすさから業務
用として使用する従業員もいますが、そうした
機器が正式に許可または安全化されてい
ないことも少なくありません。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
16
図9：今後2 ～ 3年間で、自社のデジタルトランスフォーメーションを後押しすることに役立つ
安全なIAMソリューションの展開に対して阻害要因となり得る課題
シャドー IT（正式に許可されていないアプリケーション、
ハードウェア、クラウドサービスの購入）
22%
IAMに対してあらゆるタイプのアイデンティティを統括する責任者の不在
19%
デジタルトランスフォーメーションの戦略と計画立案の欠如
18%
17%
レガシー IAMアプリケーション
27%
17%
「モノ」のインターネット
新たに接続された機器が生み出すデータ量の増大
チーフオフィサーレベルや取締役会の積極的な支援の欠如
19%
32%
16%
34%
22%
14%
31%
を安全なIAMソリューションの導入を危うく
部門にとっての課題は、たとえビジネス上の
43％が「問題となる」とみなしています。
メリットが明らかでも、そのようなアプリ
ケーションが新たな脆弱性を招き寄せ、潜在
的にセキュリティに問題があるアクセスポイ
ントを生み出すことです。
こうした懸念が回答者の念頭にあることは
明らかです。その証拠に、22％がシャドー IT
31%
12%
32%
23%
32%
28%
12%
39%
42%
38%
8%
24%
27%
27%
■極めて大きな問題となる　■問題となる　■やや問題となる　■まったく問題にならない
、最高情報セキュリ
最高情報責任者（CIO）
ティ責任者（CISO）およびITセキュリティ
23%
36%
16%
15%
現在、複数のベンダーのIAMソリューションが混在していること
注記：小数点以下四捨五入のため合計値は100％にならないことがある
43%
する「極めて大きな問題となる」とみなし、
ここで重要となるのは、IAMサプライヤー
とIAMに注力するMSSP が、シャドー IT
を十分に考慮した形でそれぞれのソリュー
ションを開発することです。これはユーザー
とベンダーの双方にとって今後ますます重要
となります。
図10：今後2 ～ 3年間で、シャドー ITはデジタルトランスフォーメーションに役立つ安全なIAMソリューションの開発に、
どの程度問題となるか？
銀行
保険
24%
14%
小売
12%
30%
21%
54%
19%
7%
15%
24%
35%
35%
32%
25%
12%
25%
33%
サービス
通信、運輸、公共サービス
24%
54%
製造
公的機関
41%
43%
39%
10%
12%
7%
25%
18%
11%
■極めて大きな問題となる　■問題となる　■やや問題となる　■まったく問題にならない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
17
クラウドも影響を及ぼしています。組織は
に考案されたクラウドリスク評価を、IT部門
リソースを必要としています。たとえば、周到
付けることなどです。
クラウドへの移行を管理するための適切な
だけでなく調達部門でも実施するように義務
図11：自社の従業員が、これらのアプリケーションのいずれかをIT部門に相談せずに
使用しているか？
クラウドサービス
35%
クラウドストレージ
CRM
仮想化
複数ベンダーの製品が混在する
古いIAMソリューションを一掃
したいという要望とその機会が
存在しています。
65%
33%
67%
16%
84%
12%
88%
■はい　■いいえ
従業員が許可なしでクラウドサービスにアク
挙げられており、回答者の26 ％が懸念を
セスしていると回答したのは35 ％であり、表明しています。無許可のアプリケーション
続いてクラウドストレージが33 ％、CRM
ツールが16％、仮想化が12％でした。
この場合、数字が小さいから望ましい結果で
あるとは言い切れません。たとえ少数でも、
許可されていないリソースへのアクセスや
使用を行う従業員がいるということは、セキュ
リティリスクなのです。クラウドストレージ
の無許可利用が多いことは、IT部門の統制
が及ばない場所に相当な量の機密情報が
保存されていることを意味します。
複雑かつ予測困難にならざるを得ない変革
のプロセスを企業が辿る途上では、その
ようなシャドー ITの使用はさらに多くの
リスクを引き起こす恐れがあります。
シャドー ITは、特権アカウント管理（PAM）
の効果的な導入を危うくする脅威の2番目に
やクラウドが増加するにつれて、何が本物
の特権アカウントなのか、そしてどれが
サポート対象外または規制対象であり、その
うちのどれが本当の従業員に属するものなの
かを判断することがますます困難になって
います。
また別の問題として、複数ベンダーの製品
が混在する古いIAMソリューションを一掃
したいという願望とその機会も、明らかに
存在しています。
約31％が、シャドー ITが安全なIAMソリュー
ションを実現する障害になると考えています。
シャドー ITとクラウドがすでに引き起こして
いるセキュリティの懸念と課題を踏まえる
と、機能の寄せ集めから成り立つ古いIAM
システムがもたらす脆弱性が懸念材料になる
ことは間違いありません。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
18
IAMがもたらすものとリスク
私たちはサイバー攻撃が絶えず続く時代に
リティ意識向上トレーニングの有効性を
生きており、いかなる企業や組織もセキュ
認めていない企業の回答者にとって、この
そして、規則が破られたり、IT部門が許可
せん。
リティ侵害から無関係ではいられません。調査結果は警鐘の役割を果たすかもしれま
していない業務の変更が行われたりすれば、
優れたIAMソリューションでさえ侵害を受ける
可能性があります。欧州企業のセキュリティ
は、シャドー ITの拡大によってますます大きな
脅威に晒されています。
私たちは今回の調査で、企業が次に発生する
IAM 関連の侵害の主な原因は何であると
捉えているかを知りたいと考えました。セキュ
あらゆる業界の全回答者の46％が「IAMの
ポリシーやプロセスに関するトレーニング
や理解の欠如がIAM関連のセキュリティ
侵害を引き起こす可能性がある」と考えてい
ました。そうした状況は、デジタルトランス
フォーメーションの複雑さが影響力を増す
につれて、さらに悪化する恐れがあります。
図12：今後発生すると考えられる、IAM関連のセキュリティ侵害の主な原因
10%
6%
■プロビジョニングが非効率であること
12%
■適切な特権アクセス制御の欠如
■第三者や利用制約のあるアイデンティティ
に対する不適切な制御
25%
46%
■IAMのポリシーやプロセスに関する
トレーニングや理解の欠如
■近い将来、いかなるIAM関連のセキュリティ
侵害の発生も想定していない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
企業は自社の同僚の認識不足を非難している
わたって驚くほど高いことであり、10 ％が
のでしょうか？それとも、遅きに失する前に、そのような見方を表明しています。この結果
特にアイデンティティの数の増加に関連して、はあまりにも楽観的であると言えます。
内部の関係者に起因する脅威のリスクを
警告しているのでしょうか？
業界別にみると、サービス業、通信業および
運輸業は、IAMに関するトレーニングと理解
の欠如を最も懸念しています。
逆説的なのは近い将来、IAM関連の侵害は
発生しないと確信している割合が全業界に
すべての技術的な統制手段と並んで、情報
全業界を通じて、ITの上級意思
決定者の46 ％が「IAMのポリ
シー、プロセスに関するトレー
セキュリティに関する従業員の教育とトレー
ニングや理解の欠如が IAM
たとえテクノロジーが完璧でも、人間が失敗
起こす可能性がある」と考えて
ニングは必要不可欠な要素です。
すれば物事は悪い方向に進みます。その
端的な例は、リソースへの過剰なアクセス
を許可することです。
関連のセキュリティ侵害を引き
います。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
19
図13：自社で次に発生すると考えられるIAM関連のセキュリティ侵害の主な原因
銀行
6%
保険
製造
公的機関
小売
サービス
12%
11%
65%
11%
6%
25%
12%
5%
通信、運輸、公共サービス
18%
■プロビジョニングが
非効率であること
18%
44%
35%
14%
27%
14%
23%
54%
14%
■適切な特権
アクセス制御
の欠如
7%
39%
39%
8%
14%
46%
24%
12%
8%
18%
4%
57%
11%
■IAMのポリシーや
プロセスに関する
トレーニングや理解の欠如
■第三者や利用制約のある
アイデンティティに対する
不適切な制御
■近い将来、いかなる
IAM関連のセキュリティ侵害の
発生も想定していない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
IAMに関するデジタル世界で果たすべき目標は明らかになっている
回答者は、セキュリティの枠を超えて、既存
拡張性の強化」について、21％が「極めて
ているかという点についても明確にしていま
しているという結果に、デジタルに対する
のIAMソリューションの目標として何を目指し
した。
「デジタルトランスフォーメーションの
実現に向けて消費者を管理していくための
重要である」
、45％が「重要である」とみな
認識の深まりが表れていました。
図14：企業のセキュリティという範囲を超えて考えた場合、現在のアイデンティティ／アクセス管理（IAM）アプリケーションが担っている
各役割はどのくらい重要か？
デジタルトランスフォーメーションの実現に向けて
消費者を管理していくための拡張性の強化
66%
従業員全体の能力強化と容易なアクセスの提供
コスト高なプロセスを自動化することでのコスト削減
26%
41%
47%
12%
41%
47%
12%
安全な新しいデジタルサービスのための基盤
73%
モバイルアプリケーションとモバイル機器のための
統合化されたセキュリティ
19%
69%
ガバナンスとコンプライアンス
6%
41%
63%
IAMの効率性の向上
4%
26%
54%
ユーザーの利便性の向上
8%
26%
68%
IAMのコスト削減
8%
5%
35%
77%
2%
23%
■極めて重要である・重要である　■やや重要である　■まったく重要ではない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
20
図15：IAMを安全な新しいデジタルサービスの基盤にすることの重要性に対する認識
銀行
47%
保険
41%
71%
製造
12%
18%
76%
公的機関
18%
71%
小売
11%
22%
85%
サービス
7%
15%
79%
通信、運輸、公共サービス
6%
11%
71%
18%
11%
11%
■極めて重要である・重要である　■やや重要である　■まったく重要ではない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
さらに望ましいことに、IAMを安全な新しい
同時に、リスク軽減はあらゆるIAMソリュー
24％が「極めて重要である」、47％が「重要
全業界を通じて、かなり高い割合の回答者
デジタルサービスの基盤にすることについて、ションの重要な要因であり続けています。
である」とみなしていたことです。
これはすべての業界と国で見られ、意思決定
者がデジタルを重視していることを示して
います。
ただし、効率性の向上は依然として最上位
の目標であり、40％がこれを「極めて重要」
と評価していました。
が「全社的リスクマネジメント（ERM）との
統合と連携レベルの向上をあらゆるIAM
投資の必要不可欠な要素である」とみなして
欧州組織の 41％が 2016 年に
IAMへの投資を増額する見通し
です。
います。
デジタルトランスフォーメーションがERMに
影響を及ぼすかどうかに関する質問に対し
て、35％が影響の存在に全面的に同意し、
46％が「IAMはそれに対処すべきである」と
回答しています。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
21
IAMへの投資のパターン
PACによる市場分析では、IAM市場の取引
ほとんどのIAM専門家は「デジタルトランス
高は2016年から2019年の間に成長し続ける
フォーメーションに対処するように設計された
図16に英国市場の予想数値を示します。
ティティを処理する能力を必ず備えなければ
いるセキュリティの状況に対するIAMの重要
さらに、今回の調査に回答した欧州のセキュ
と予想されています。代表的な見通しとして、堅牢なIAMシステムは、消費者のアイデン
このような成長は、すでに課題が山積して
性を浮き彫りにしています。
本調査の結果は、デジタルトランスフォー
メーションに伴って新たに生じる課題に対処
するために、堅牢なIAMソリューションが
必要であることを一層強く裏付けています。
IAM投資の意向に関する質問からは興味
深い回答が得られており、消費者のアイデン
ティティが表れています。
図16：IAMへの投資予算は2016年に増額と
減額のどちらになると予想するか？
ならない」と考えています。
リティ／情報管理責任者の意見も、これを
裏付けているように思われます。
73％の回答者は、エンドポイントのセキュリ
41.79%
50.25%
ティをIAM投資の計画立案における主要な
要因として含めていましたが、続いて65％
の回答者が、消費者アイデンティティを扱う
7.96%
アプリケーションと消費者アイデンティティ
管理を挙げています。
■増額される　■減額される
■どちらでもない（同じ水準を維持する）
図17：IAMへの投資計画には、これらの要素が盛り込まれているか？（全業界）
エンドポイントのセキュリティ
73%
消費者アイデンティティを扱うアプリケーションと
消費者アイデンティティ管理
26%
65%
特権アカウントのセキュリティ
35%
61%
IDaaS ／クラウドのIAM
39%
44%
SNSのアイデンティティとログイン
56%
41%
M2MまたはIoTアプリケーション
59%
37%
ビッグデータアプリケーション
28%
63%
72%
■はい　■いいえ
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
22
図18：IAMへの投資計画には、これらの要素が盛り込まれているか？（業界別）
• 消費者アイデンティティを扱うアプリケーションと消費者アイデンティティ管理
銀行
76%
保険
57%
製造
銀行
71%
57%
製造
64%
41%
小売
59%
46%
サービス
54%
50%
通信、運輸、公共サービス
50%
43%
• ビッグデータアプリケーション
57%
35%
65%
18%
製造
82%
30%
公的機関
小売
サービス
70%
27%
73%
27%
73%
21%
79%
通信、運輸、公共サービス
39%
• M2MまたはIoTアプリケーション
サービス
43%
36%
公的機関
小売
46%
29%
保険
公的機関
25%
54%
• IDaaS ／クラウドのIAM
製造
50%
75%
通信、運輸、公共サービス
保険
29%
50%
サービス
銀行
30%
71%
小売
保険
43%
70%
公的機関
銀行
24%
61%
35%
65%
18%
82%
42%
58%
27%
73%
50%
50%
68%
32%
通信、運輸、公共サービス
57%
43%
■はい　■いいえ
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
23
• SNSのアイデンティティとログイン
銀行
保険
29%
71%
36%
製造
64%
27%
公的機関
73%
44%
小売
56%
58%
サービス
42%
61%
通信、運輸、公共サービス
39%
29%
71%
• 特権アカウントのセキュリティ
銀行
59%
保険
41%
61%
製造
39%
64%
公的機関
36%
56%
小売
44%
58%
サービス
42%
64%
通信、運輸、公共サービス
36%
68%
32%
• エンドポイントのセキュリティ
銀行
94%
保険
製造
公的機関
79%
21%
79%
21%
61%
小売
39%
73%
サービス
68%
通信、運輸、公共サービス
6%
27%
32%
75%
25%
■はい　■いいえ
さらに興味深いことは、SNSのアイデンティ
ティとそのログインであり、これは今回の
調査サンプルの41％によって選ばれていま
した。明らかに、今回の回答者は、将来の
IAM投資計画を策定する際に、従来のセキュ
リティの守備範囲であると解されている
領域から大きく外れたところまで考慮してい
ます。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
24
図19：英国のセキュリティ市場の規模
アイデンティティ／アクセス管理
単位：100万ユーロ
800
600
400
376
412
2013
2014
454
496
540
584
629
200
0
2015
デジタルトランスフォーメーションが完全に
実現されたステージにまだ達していない企業
でも、さらには、まだ初期段階にとどまって
いる企業でさえも、従業員や特権アカウント
という従来の領域のアイデンティティをはる
かに超えた領域のアイデンティティまで考慮
に入れることの重要性を認識しているのです。
全体として、今回の調査では、M2MとIoT
も含めてすべてのデジタル化の契機に対して
健全かつ有望な反応が返ってきました。この
ことは、デジタルへの理解が高まっている
ことを示唆しています。
セキュリティ計画の立案者が、将来のIAM
ソリューションに関するこうした新しいデジ
タルの課題をセキュリティ計画の立案者が
どのように管理する意向であるかに目を
向けると、興味深い構図が見えてきます。
サイバーセキュリティの他の領域では、長年
にわたってマネージドセキュリティサービス
プロバイダー（MSSP）がウェブや電子メール
2016
2017
2018
2019
のフィルタリングなど、アプリケーションの
日常的な実行の管理を委託されてきました。
しかし、もし今回の調査におけるすべての
業界と国の回答を信じるならば、IAMソリュー
ションについては、MSSPへの信頼はまだ
十分なレベルに到達していません。
IAMをMSSPに全面的に外部委託（アウト
ソース）することを計画しているのは回答者
のわずか15％に過ぎず、部分的な外部委託を
計画しているのは 57 ％でした。MSSPは
こうした動向を真剣に受け止める必要がある
でしょう。IAMをMSSPの手に委ねても安全
であることを納得させるために、MSSPが
できることは何でしょうか？
それに比べれば、クラウドベースのIDaaS
（identity as a service）ソリューションは、
リスクが少ないとみなされており、28％が
その外部委託に積極的であり、58％は部分
的にアイデンティティ機能の一部を外部委託
する意向を示しています。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
25
図20：今後2 ～ 3年間に、IAMインフラの何らかの部分を外部委託する計画はあるか？
部分的にクラウドベースのソリューション
（IDaaS: Identity-as-a-Service）に移行
58%
部分的にマネージドセキュリティサービスプロバイダー
（MSSP）に委託
57%
全面的に（100％）クラウドベースのソリューション
（IDaaS: Identity-as-a-Service）に移行
全面的に（100％）マネージドセキュリティサービスプロバイダー
（MSSP）に委託
27%
29%
28%
15%
57%
70%
14%
14%
14%
14%
■はい　■いいえ　■今後2 ～ 3年間に、何らかのIAMインフラを外部委託する計画はない
注記：小数点以下四捨五入のため合計値は100％にならないことがある
ここで指摘しておくべきことは、MSSPに
依存することで、クライアントはより多くの
統制権をMSSPに委ねることになり、それ
はリスクが大きいということです。一方で、
IDaaSはプラットフォームを外部委託先の
管理下に置きます。
マルチベンダーの古いIAMソリューションの
存在もその1つの要因でしょう。
さらに、IDaaSは、クラウドアプリケーション
へのアクセスを管理することや、新しいタイプ
のユーザー集団（例：顧客）によるアクセス
欧州企業の15％がIAMを全面
的にMSSPに外部委託すること
を計画しています。
を管理することに最も適しているのに対して、
さらにMSSPへの外注の数字が低いことは、既存のオンプレミスIAMはより複雑な要件
クラウドやMSSPではあらゆるものを管理
することは難しい、という事実に起因すると
考えてほぼ間違いないでしょう。たとえば、
旧型のアプリケーションのためのIAMを
考えてみればわかります。
を満たすように最適化されています。
以前と比べると、コスト削減は目標として
選ばれなくなっています。組織は次第にビジ
ネス能力の強化に目を向けるようになって
おり、その手段としてモバイルワーカーの
ほとんどの組織は、IAMの一部をクラウド
支援（69％がこの項目を「極めて重要」また
半は、何らかのIAM機能をオンプレミスに
、消費者のアイデンティティ
の実現（72％）
既存のオンプレミスアプリケーションを
しています。
で実行することを計画していますが、その大
残しておくでしょう。その理由は、おそらく
サポートする必要性があるからです。また
は「重要」と評価）
、新しいデジタルサービス
情報へのアクセスの管理（66％）などに注目
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
26
結論
本調査における欧州全域の情報／セキュリ
今日のセキュリティ侵害の大半は、従業員
本調査では、シャドー ITが旧型IAMの実効
企業のデジタルトランスフォーメーションの
電子メールの不正リンクをクリックした、シャドー ITをどのような形で将来の投資に
結果が明らかになりました。
あるいは単にセキュリティポリシーやトレー
ないかに関して、大きな懸念が生じている
抵抗勢力と目されてきた業界（例：保険）が、デジタル時代でも人間が不完全であることに
これはユーザーとサプライヤーの双方に
方向転換を開始していることも確認されて
での対話のほか、関係組織による現実に
ティ担当シニアエグゼクティブの回答から、のありふれたミスによるものです。たとえば、性にどのように影響を及ぼすか、そして
必要性が適切に認識されているという心強い
また、デジタルトランスフォーメーションへの
市場情勢の変化と課題の出現に呼応して
います。これは全業界を通じて、
セキュリティ
悪意の添付ファイルをダウンロードした、おける検討事項として考慮しなければなら
ニングの教えに従わなかった、などです。
変わりはありませんが、アイデンティティと
モノの急激な増加に呼応して脅威ベクター
が拡大するにつれ、そうしたミスがもたらす
をデジタルトランスフォーメーションに適応
結果とリスクはますます増大していきます。
適応はできるだけ早い方が望ましいという
脅威を一層安全に管理する必要が生じるで
今回の調査に回答した情報担当エグゼク
消費者、モノやセンサーなどの新しいアイ
させることがある時点で必要になり、その
ことを意味しているでしょう。
ティブは、現在のセキュリティの考え方の枠
組みにとどまって以前のように単にすべてを
ロックダウンして封じ込める道は選んでいま
せん。むしろデジタルトランスフォーメー
ションがもたらすビジネスメリットに気づ
いており、組織の競争優位を維持したい
ならばそのような変革を受け入れる必要が
ある、という認識に至っていることを、本
調査は示しています。
これはデジタル時代のセキュリティに懸念を
抱いていない、という意味ではありません。
懸念していることは確かです。しかも、消費
者に由来する新しいアイデンティティや、さら
にはモノやセンサーのアイデンティティまで
安全に管理しようとするならば、アイデンティ
ティ／アクセス管理（IAM）ソリューション
が主役となって新たな課題を解決する必要
があることも強く認識しています。
デジタル時代には、インサイダーに起因する
しょう。
デンティティからのアクセスがデジタルトラ
ンスフォーメーションの重要な一角を担う
ことを考えれば、安全で高度化されたIAM
ソリューションの必要性は、最初の段階から
考慮に入れておかなければなりません。
ことがわかりました。
とっての課題です。出発点としては、双方
即したシャドー IT監査も適切でしょう。
規制当局、データプライバシーを懸念する
一般市民、そしてセキュリティ侵害が事業
に及ぼすダメージを懸念する株主が産業界
に対する監視を強化する中では、リスクと
コンプライアンスについても、デジタル時代
のIAMの意思決定の検討事項として考慮し
なければなりません。
デジタルトランスフォーメーションを急ぐ
あまり、他の事業部門がセキュリティへの
投資を見過ごしたり、軽視したりする懸念も
CIOとCISOはこれを成し遂げることができる
存在します。今後は、多種のアイデンティティ
ベンダーやMSSPはそれにどこまで対応
ションを選択する際に、そうした拙速が
でしょうか？そして、IDaaSを提供するIAM
できるでしょうか？
欧州全域ですでに大きく広がっている新しい
動きが、情報管理責任者の尽力も、最高
クラスのIAMシステムも無力化してしまう
恐れがあります。それは、シャドー ITの拡大
です。
今や、IT 部門の統制が及ばない事業部門
でも、デジタル主導のサービスやソフトウェア
が容易かつ安価に入手可能になっています。
や機器を対象とした新しいIAMソリュー
生じるのを防ぐことをITやセキュリティの
責任者に要求する圧力もさらに高まっていく
でしょう。
近い将来に計画されているIAMへの投資に
関して、ITとセキュリティの責任者は、何に
重点を置いて投資する必要があるのかを、
明確に伝えなければなりません。つまり、
どのような要件に対処するために新しい
ソリューションとIAMポリシーが必要とされる
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
27
のかを明確にする、ということであり、それが
のアプローチに移行していますが、それで
です。
せん。
要するに、デジタル時代のためのIAMなの
もIAMの中核的な重要性に変わりはありま
アイデンティティ／アクセス管理（IAM）は、しかし、もし欧州企業の事業責任者が
デジタル時代のサイバー攻撃に対する主な
防御手段として、ますます中心的な役割を
担うようになるでしょう。企業は、サイバー
セキュリティに対しても、他の脆弱性に対する
脅威の管理に対しても、よりインテリジェ
ンスベース（情報の収集と分析を重視する）
データとインフラにアクセスするヒトやモノ
のアイデンティティを統制することができな
ければ、その企業の将来のセキュリティと
成長、ひいては企業そのものも破綻に追い
やられることになるでしょう。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
28
付属資料
調査方法
PACは、2016年3月に本調査を実施しました。一定の審査の後、欧州全域
から選ばれた202人の上級情報セキュリティリーダーが調査に回答しま
した。回答者は、銀行、保険、製造、小売、サービス、通信、運輸の
企業および公的機関に属しており、ベネルクス、北欧、スイス、フランス、
ドイツおよび英国に拠点を置いています。
図21：回答企業の従業員数
5%
33%
25%
従業員
■従業員数1,000 ～ 5,000人
■5,000 ～ 10,000人
10,000人以上が
30％を占める
■10,000 ～ 50,000人
■50,000人以上
37%
図22：回答企業の業種
6% 1%
■銀行
8%
7%
14%
■保険
■製造
■公的機関
14%
■小売
16%
13%
■サービス
■通信
■運輸
20%
■公共サービス
注記：小数点以下四捨五入のため合計値は100％にならないことがある
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
29
図一覧
図1：デジタルトランスフォーメーション戦略における各課題に対する重要性の認識 .................................................................... 5
図2：今後発生すると考えられる、IAM関連のセキュリティ侵害の主な原因 ............................................................................... 6
図 3：業務遂行全般におけるデジタルトランスフォーメーションの影響（業界別）......................................................................... 9
図 4：業務遂行全般におけるデジタルトランスフォーメーションの影響（地域別）....................................................................... 10
図 5：デジタルトランスフォーメーション戦略の個別目標に対する重要性の認識 ........................................................................ 11
図 6：現在、企業サービスへのアクセスにモバイル機器を使用している従業員の割合 ................................................................ 13
図7： 3 年後、企業サービスへのアクセスにモバイル機器を使用していると予想される従業員の割合 ........................................... 14
図 8： 3 年後にクラウドに置かれていると予想される企業システムの割合 ................................................................................... 15
図 9：今後2 ～ 3 年間で、自社のデジタルトランスフォーメーションを後押しすることに役立つ
安全なIAMソリューションの展開に対して阻害要因となり得る課題 ................................................................................. 16
図10：今後2 ～ 3 年間で、シャドー ITはデジタルトランスフォーメーションに役立つ安全なIAMソリューションの開発に、
どの程度問題となるか？ .............................................................................................................................................. 16
図11：自社の従業員が、これらのアプリケーションのいずれかをIT 部門に相談せずに使用しているか？ ....................................... 17
図12：今後発生すると考えられる、IAM関連のセキュリティ侵害の主な原因 ............................................................................. 18
図13：自社で次に発生すると考えられるIAM関連のセキュリティ侵害の主な原因 ....................................................................... 19
図14：企業のセキュリティという範囲を超えて考えた場合、現在のアイデンティティ／アクセス管理（IAM）アプリケーションが
担っている各役割はどのくらい重要か？ ........................................................................................................................ 19
図15：IAMを安全な新しいデジタルサービスの基盤にすることの重要性に対する認識 ................................................................ 20
図16：IAMへの投資予算は 2016 年に増額と減額のどちらになると予想するか？ ........................................................................ 21
図17：IAMへの投資計画には、これらの要素が盛り込まれているか？（全業界）........................................................................ 21
図18：IAMへの投資計画には、これらの要素が盛り込まれているか？（業界別）.................................................................. 22, 23
図19：英国のセキュリティ市場の規模 .................................................................................................................................... 24
図20：今後2 ～ 3 年間に、IAMインフラの何らかの部分を外部委託する計画はあるか？ ............................................................. 25
図21：回答企業の従業員数 .................................................................................................................................................. 28
図22：回答企業の業種 ......................................................................................................................................................... 28
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
30
KPMGについて
今日、サイバー攻撃はビジネスの現実の脅威
となっています。技術の進歩と業務慣行の
変化が、サイバー犯罪者やハクティビスト
が暗躍する機会を拡大しています。組織は、
彼らによって、今や「コントロールを失う」
状況にまで達してしまっているのです。
パスワードの共有が広まっています。ソリュー
ションがアプリケーションやプラットフォーム
ごとに乱立し、数え切れないほど多くの認証
手法とパスワード管理方法を生み出してい
ます。権限付与は多層化し、職務分掌は
もはや明確さを失っています。管理者に
よって付与される権限を見通す能力も欠如
しています。パスワードの変更、アクセス
統制へのコンプライアンスの実証、特権
アカウントの保護、プロビジョニングなど
を受け持つヘルプデスクのコストは高騰して
います。
弱点のリストは際限なく増加する
多くの組織はこうした問題に対処するため
に、ユーザーの管理、アクセスの統制、特権
アクセス管理、アイデンティティ連携（フェデ
レーションサービス）
、ロールベースのアク
セス制御、プロビジョニングの効率性など
を向上させるためのプロジェクトを始動させて
います。こうした機能はアイデンティティ／
アクセス管理（IAM）の構成要素です。
KPMGのグローバルサイバーセキュリティ
アドバイザリーは、長年の経験と広範な専門
知識をIAMのあらゆる側面について提供し
ます。
• 多数の業界でビジネスに影響を及ぼす
• 遵守すべき法令、ビジネス、プライバシー
および規制リスクに関する専門知識
連絡先：
ジェクト管理および導入支援を幅広い
John Hermans
KPMGオランダ
• IAM戦略の評価、アドバイザリー、プロ
IAMツールを用いて提供する傑出した能力
• セキュリティ評価／認証、セキュリティ
アーキテクチャ開発／導入、セキュリティ
／テクノロジー統制、ITインフラストラ
クチャ／コントロールおよびオペレーション
／プロジェクトリスクマネジメントを包括
する広範な能力
KPMGのグローバルサイバーセキュリティ
欧州・中東・アジア
サイバーセキュリティ責任者
hermans. [email protected]
Prasad Jayaraman
KPMG米国
アイデンティティ／アクセス管理
グローバル責任者
[email protected]
アドバイザリーについて
Manoj Kumar
KPMG英国
リティ専門家のネットワークが、世界中の
manoj [email protected]
するための支援を企業に提供しています。人、
www.kpmg.com
KPMGの2,200人を超えるサイバーセキュ
企業と連携して、組織全体を安全に保護
プライバシー、情報ガバナンスおよびビジ
サイバーセキュリティ
主席アドバイザー
ネスレジリエンス（回復力）の問題の解決を
図ることで、顧客企業がデジタルの世界に
おいて、企業グループ全体での経営アプ
ローチを導入できるように支援することが
KPMGの務めです。経営幹部に新たな展望
を提供することによって、サイバーリスクを
独創的かつ建設的な方法でコントロール
できるように支援するとともに、ビジネスの
成長、変革、そしてイノベーションを実現する
顧客企業自身の能力も高めています。
詳細については、KPMG Cyber Security
ウェブサイトをご覧ください。
www.kpmg.com/jp/cyber-security
現在および将来のIAM動向に関する深い
理解
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
31
免責、使用権、独立性およびデータ保護
本調査の作成と配布は、KPMG、CyberArk
およびSailPointをはじめとする各社の支援
を得て実施されました。
詳細については、www.pac-online.comを
ご覧ください。
免責
本調査の内容は、最大限の注意を払って
編集されています。しかし、その正確性に
ついては一切の責任を負いません。分析と
評価は、2016年4月の時点における知見を
反映しており、任意の時点で変更される
可能性があります。これは特に将来に関する
記載に該当します（ただし、それだけに
限定されません）
。本調査の中に記載された
名称や記号は登録商標である場合があり
ます。
使用権
独立性とデータ保護
本調査は、Pierre Audoin Consultants
（PAC）が、KuppingerColeの協力を得て
作成されました。スポンサーは、データの
分析と調査の作成に対していかなる影響力
も及ぼしていません。
本調査の参加者は、提供した情報が機密と
して扱われる確約を受けています。いかなる
記述からも、個々の企業に関する結論を引き
出すことはできません。また、いかなる個々
の調査データもスポンサーや他の第三者に
引き渡されていません。本調査のすべての
参加者は無作為に選ばれました。たとえ本
調査の回答者とスポンサーの間に商業的
関係が存在する場合でも、その関係と本
調査の作成との間にはいかなる関連性も存在
しません。
本調査は著作権によって保護されています。
いかなる複製または第三者への頒布も、一部
か全部かを問わず、スポンサーからの事前の
明示的な許可を必要とします。他の刊行物の
中での図表などの公表や配布も事前の許可
を必要とします。
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a
Swiss entity. All rights reserved.
お問合せ先
KPMGコンサルティング株式会社
〒100-0004
東京都千代田区大手町1丁目9 番5号
大手町フィナンシャルシティノースタワー
TEL : 03-3548-5111
kpmg.com/jp
twitter.com/KPMG_JP
www.facebook.com/KPMG.JP
ここに記載されている情報はあくまで一般的なものであり、特定の個人や組織が置かれている状況に対応するものではありません。私たちは、的確な
情報をタイムリーに提供するよう努めておりますが、情報を受け取られた時点およびそれ以降においての正確さは保証の限りではありません。何ら
かの行動を取られる場合は、ここにある情報のみを根拠とせず、プロフェッショナルが特定の状況を綿密に調査した上で提案する適切なアドバイス
をもとにご判断ください。
© 2016 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of
independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any
authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have
any such authority to obligate or bind any member firm. All rights reserved.
©2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network
of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights
reserved. Printed in Japan.
The KPMG name and logo are registered trademarks or trademarks of KPMG International.
Publication Number: JAPAN:16-1562

Download Report